因此,我正在使用多种工具和操作系统进行取证工具验证。我已经开始在 Linux 上使用 dd,我需要使用的另外两个工具是 FTK Imager 和 ProDiscover;这两个都是基于 Windows 的程序。我面临的问题是我没有写阻止程序;在 Windows 中,“nosuid,nodev,nofail,noauto”的等效项是什么?
答案1
将 USB 设备设为只读
可以进行另一项注册表修改,以指示 Windows 将新连接的 USB 设备视为只读设备,从而防止意外写入。我并不主张这应该取代物理写入阻止程序 - 事实上,有几份报告称 Windows 不尊重此设置并允许写入某些 USB 设备(尽管我没有直接观察到这种行为)。但是,此设置可以作为合理分层方法的一部分来实现,以帮助您证明您已采取一切可能的措施来防止意外写入附加证据等。
要实现此功能,您需要对注册表进行一些更改,如下所示:
打开注册表并导航到 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control 如果它尚不存在,请创建一个名为“StorageDevicePolicies”的新键。如果它尚不存在,请创建一个名为“WriteProtect”的新 Dword 并将值设置为 1(其中 1 表示操作系统将新连接的 USB 设备视为只读设备,0 表示允许写入)。禁用自动挂载
Windows 会很乐意为您挂载任何新连接的存储设备,这可能是一件坏事。我更喜欢明确定义哪些存储设备挂载到我的取证工作站。要关闭自动挂载功能,请从命令提示符(如果使用 Windows 7/Vista,则需要提升权限)中执行以下操作之一:
运行 diskpart 并在提示符下输入:automount disable 或者运行独立命令:mountvol /N 或者在注册表中将 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MountMgr\NoAutoMount 设置为 1(如果您使用前面提到的命令之一,您将看到此条目相应更改)。